逐梦论坛's Archiver

shillan 发表于 2006-6-20 01:04

[转帖]查杀"灰鸽子2"木马病毒

和"灰鸽子"木马病毒(win32.hack.hupigon.f.104448,请参见前面的一篇文章)作用原理非常类似,本文就手动清除"灰鸽子2"的问题进行论述:[color=#6600ff][b]一、病毒作用机理分析:[/b][/color]

【1】双击运行病毒样本,该病毒样本自动删除掉了。病毒释放出两个病毒体:
c:\windows\g_server2.0.exe 大小:293,376 字节 属性:a-s-r-h
c:\windows\system32\cpoiuyk.dll 大小:9,728 字节 属性:a-h
【2】在系统服务中添加名为"graypigeonserver2.0"的服务项,该服务指向c:\windows\g_server2.0.exe
【3】在iexplore.exe进程中注入c:\windows\system32\cpoiuyk.dll
【4】在注册表中添加下列四项(包含若干子项目,详见下文):
hkey_local_machine\system\controlset001\enum\root\legacy_graypigeonserver2.0
hkey_local_machine\system\currentcontrolset\enum\root\legacy_graypigeonserver2.0
hkey_local_machine\system\controlset001\services\graypigeonserver2.0
hkey_local_machine\system\currentcontrolset\services\graypigeonserver2.0


下面将病毒测试过程进行截图并加以说明:
运行hijackthis v1.99,发现系统服务中增加了一项 —— ([color=#6600ff][b]图01[/b][/color])

[align=left][img]http://zplinux.go3.icpcn.com/img/article_05_301.jpg[/img]

察看进程,发现iexplore.exe进程中被注入了cpoiuyk.dll —— ([color=#6600ff][b]图02[/b][/color])[/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_302.jpg[/img]

进入"文件夹选项",切换到"查看"标签,按照下图所示进行设置 —— ([color=#6600ff][b]图03[/b][/color])[/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_303.jpg[/img]


修改察看方式以后就可以在 c:\windows\ 和 c:\windows\system32\ 目录下看到上文叙述的病毒体,由于当前病毒正处于激活状态,所以对这两个文件进行操作的话,会提示该文件被锁定。
下面是注册表添加的四个项:
key_local_machine\system\controlset001\enum\root\legacy_graypigeonserver2.0 —— ([color=#6600ff][b]图04、05、06[/b][/color])[/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_304.jpg[/img][/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_305.jpg[/img][/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_306.jpg[/img]

hkey_local_machine\system\currentcontrolset\enum\root\legacy_graypigeonserver2.0 —— ([color=#6600ff][b]图07、08、09[/b][/color])[/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_307.jpg[/img][/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_308.jpg[/img][/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_309.jpg[/img]

hkey_local_machine\system\controlset001\services\graypigeonserver2.0 —— ([color=#6600ff][b]图10、11、12[/b][/color])[/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_310.jpg[/img][/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_311.jpg[/img][/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_312.jpg[/img]

hkey_local_machine\system\currentcontrolset\services\graypigeonserver2.0 —— ([color=#6600ff][b]图13、14、15[/b][/color])[/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_313.jpg[/img][/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_314.jpg[/img][/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_315.jpg[/img]


[color=#6600ff][b]二、手动杀毒操作演示:[/b][/color]

【1】"开始菜单"——"运行"——"services.msc"——回车,将出现系统服务配置窗口。 —— ([color=#6600ff][b]图16[/b][/color])[/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_316.jpg[/img]

【2】找到名为"graypigeonserver2.0"的服务项([color=#6600ff][b]图17[/b][/color]),如图所示:启动类型为"自动",状态显示为空白。在该服务项上点击右键,选择"属性"([color=#6600ff][b]图18[/b][/color]),更改启动类型为"已禁用"。点击"确定"以后,重新启动计算机。[/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_317.jpg[/img][/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_318.jpg[/img]

【3】重启计算机进入windowsxp操作界面以后,该病毒处于非激活状态。
这时候可以顺利的删除
c:\windows\g_server2.0.exe
c:\windows\system32\cpoiuyk.dll
两个病毒体。
【4】"开始菜单"——"运行"——"regedit"——回车,将出现注册表编辑窗口。
找到下面两项并删除:
hkey_local_machine\system\controlset001\services\graypigeonserver2.0
hkey_local_machine\system\currentcontrolset\services\graypigeonserver2.0

[color=#ff0000][i][b]到这一步,"灰鸽子2"木马病毒已经被顺利手动清除掉了。[/b][/i][/color]


〖5〗我们看可以看到,病毒在注册表的下面两个位置也添加了项:
hkey_local_machine\system\controlset001\enum\root\legacy_graypigeonserver2.0
hkey_local_machine\system\currentcontrolset\enum\root\legacy_graypigeonserver2.0
但是当我们找到这两个键值删除的时候,会显示错误信息对话框 —— ([color=#6600ff][b]图19[/b][/color])[/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_319.jpg[/img]

说明:我尝试了使用msconfig.exe配置诊断模式、系统安全模式两种环境下操作,依旧报错。
该项处于锁定状态。[color=#ff0000][b]([/color]百思不得其解,希望高手指点!!![color=#000000])[/color][/b]
经过测试发现,这两个键值保留在注册表中,不会有影响正常使用,也不会激活病毒。
也许这是杀毒过后残余的系统垃圾吧!
〖6〗抛开现有的windowsxp操作系统,借助功能强大的光盘版操作系统erd commander,
可以很轻易的清除掉这两项注册表项。
但并不是每一个计算机用户都有必要拥有erd commander工具光盘。
对于一般用户,建议手动清除"灰鸽子2"木马病毒到本文叙述的第四步就可以了。
对于拥有erd commander工具光盘的用户,可以按照下文的方式操作:
重启计算机,更改bios设置为从cd-rom引导计算机,放入erd commander光盘,
(这里我采用的是erd commander 2005 英文版进行演示)
光盘引导,进入erd commander登陆界面 —— ([color=#6600ff][b]图20[/b][/color])[/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_320.jpg[/img]

〖7〗选择当前操作系统系统目录,这里是"c:\windows\",点击"ok"。
引导进入系统以后,点击"start"——"administrative tools"——"regedit", —— ([color=#6600ff][b]图21[/b][/color])[/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_321.jpg[/img]

启动注册表编辑窗口,找到下面两项并删除:
hkey_local_machine\system\controlset001\enum\root\legacy_graypigeonserver2.0
hkey_local_machine\system\currentcontrolset\enum\root\legacy_graypigeonserver2.0

[color=#ff0000][i][b]至此,"灰鸽子2"木马病毒已经完全被顺利手动清除掉了。(包括残余垃圾)[/b][/i][/color][/align]

cfwbxajhb 发表于 2012-12-11 14:29

楼主发贴辛苦了,谢谢楼主分享

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.